Hésitations, critiques, urgence... On vous retrace la création de l'application StopCovid, désormais disponible

Il y a tout juste deux mois, le projet n'était "pas un sujet" sur lequel l'exécutif travaillait, à en croire Christophe Castaner. Et pourtant, depuis mardi 2 juin, l'application StopCovid est bel et bien téléchargeable sur votre smartphone. Elaborée depuis la fin mars pour contenir la pandémie de Covid-19 en France, l'application a cristallisé de nombreuses tensions, entre atouts sanitaires et pistage sécuritaire.

>> Retrouvez toutes les infos sur l'épidémie de Covid-19 dans notre direct

Côté technique, StopCovid est une application de traçage permettant d'enregistrer, via une connexion Bluetooth, les personnes avec qui vous avez été en contact pendant plus de 15 minutes, et de les prévenir si vous êtes testé positif au Covid-19, grâce à un QR code obtenu au moment du test. Mais côté politique, elle est aussi devenue le symbole contesté d'un pas supplémentaire vers une société de surveillance.

Des hésitations initiales du gouvernement, jusqu'au vote loin d'être unanime au Parlement le 27 mai, franceinfo vous raconte le chemin tortueux emprunté par l'application StopCovid pour parvenir jusqu'aux téléphones des Français.

Un tracking "pas dans la culture française"

Dès février, l'épidémie a fait émerger une myriade d'outils de lutte contre le Covid-19, parfois synonymes de surveillance extrême. En Chine, par exemple, une application a été lancée pour attribuer une couleur à chaque citoyen en fonction de son état de santé. Mais elle conditionnait l'accès aux transports ou certains espaces publics et transmettait des données à la police. En Corée du Sud, les autorités se sont mises à suivre à la trace les patients infectés, en récoltant leurs données mobiles, bancaires, ou les images de vidéosurveillance. Quiconque croisait une personne porteuse du virus pouvait en connaître l'itinéraire passé, son sexe ou son âge. 

Ces exemples très décriés ont nourri une grande prudence dans l'Hexagone. Quitte à écarter dans un premier temps le recours à de tels outils. Le 26 mars, le ministre de l'Intérieur jugeait ainsi que ces dispositifs n'étaient "pas dans la culture française". "Je fais confiance aux Français pour que nous n'ayons pas besoin de mettre en place ces systèmes, qui au fond atteignent la liberté individuelle de chacun pour être efficace. Ça n'est pas un sujet sur lequel nous travaillons", affirmait-il. Mais dix jours plus tard, changement de discours : le même Christophe Castaner annonçait que le tracking était une piste à l'étude.

Car dans le même temps, Emmanuel Macron a chargé un comité d'analyse d'étudier "l'opportunité d'une stratégie numérique d'identification des personnes ayant été au contact de personnes infectées". D'après Le Journal du dimanche, c'est par un communiqué de l'Elysée que Cédric O, secrétaire d'Etat en charge du Numérique, a compris qu'il fallait accélérer la cadence. En coulisses, plusieurs entreprises se bousculent au portillon pour proposer leur solution. Le discret conseiller Aymeril Hoang, membre du Conseil scientifique sur le Covid-19, est chargé de les écouter, d'analyser les propositions et d'en transmettre la synthèse à l'exécutif.

Start-up et industriels sur le front

Le 7 avril, le gouvernement confie le pilotage du projet à l'Institut national de recherche en sciences et technologies du numérique (Inria), qui abrite des chercheurs spécialisés en intelligence artificielle ou en chiffrement. Le lendemain, Olivier Véran et Cédric O précisent dans Le Monde leur intention : créer un outil dont l'utilisation restera volontaire, utilisant le Bluetooth et non la géolocalisation, pour indiquer aux personnes que vous avez croisées pendant un temps long qu'elles ont éventuellement rencontré un cas positif. L'application, qui viendrait compléter le "contact tracing" manuel déjà réalisé, doit alors être une brique, encore "incertaine", de la stratégie de déconfinement. "Le code informatique sera public, 'auditable' par n'importe qui, et compatible avec d'autres pays", précise Cédric O.

Pour ce faire, l'Inria s'entoure d'acteurs privés qui travailleront bénévolement. Des start-up, comme Lunabee, chargée de développer l'application en elle-même, mais aussi des industriels tels que Orange, Dassault ou Capgemini. En chemin, une équipe est écartée de StopCovid, engendrant quelques remous : celle de la Direction interministérielle du numérique et des agents de Beta.gouv. Une équipe de développeurs à la disposition de Cédric O, pourtant capable d'élaborer une telle application et qui s'était d'ailleurs mise au travail. Mais de forts désaccords sur les choix techniques et l'organisation ont conduit les agents de Beta.gouv à être débarqués, raconte le site Acteurspublics.fr. 

.@BetaGouv a officiellement été débarqué du projet #StopCovid. Le projet Github où le code devait être rendu public vient d'être supprimé https://t.co/jQTm8ea0Gw

— Elliot Alderson (@fs0c131y) April 27, 2020

Mais les équipes de l'Inria et de ses partenaires sont à la tâche. Les délais courts imposés par le déconfinement à venir pressent leur travail, dont celui de Claude Castellucia, spécialiste de la sécurité des données à l'Inria. "En tant que chercheur, on a l'habitude de travailler sur un temps long", témoigne-t-il auprès de franceinfo.

Là, on a travaillé pendant quelques semaines, sept jours sur sept. Si on avait eu deux ou trois ans, des choses différentes auraient été faites, mais on est très satisfaits du travail accompli.

Claude Castellucia

à franceinfo

Malgré l'urgence, l'Inria parvient à élaborer et commence à publier, le 18 avril, le protocole technique de l'application, répondant au nom de "Robert". Il permet de calculer la proximité avec d'autres téléphones portables, de manière sécurisée et respectueuse de la protection des données, stockant les informations sur un serveur central, explique l'Inria. Un choix différent des autres solutions européennes, l'Allemagne ou la Suisse ayant opté pour la solution DP-3T, qui stocke les données de manière décentralisée. Le recours au Bluetooth, qui fait depuis des années l'objet de failles régulières, et qui ne permet pas de calculer une distance de proximité exacte, est toutefois critiqué.

De l'utilité du pistage

Au fil des semaines, l'application prend du retard. L'exécutif confirme que StopCovid ne sera pas prête pour le 11 mai, date du déconfinement. Et encore moins pour le 28 avril, alors qu'un débat était prévu à l'Assemblée à propos de l'application. La veille, Edouard Philippe prévient Cédric O d'un report, alors que ce dernier avait déjà commencé à écrire son discours, rapporte Le Journal du dimanche.

En parallèle, StopCovid fait grincer des dents, chez les politiques comme chez les "geeks". Même au sein de la majorité présidentielle, les hésitations du mois de mars se sont parfois transformées en ferme opposition. A l'instar de Sacha Houlié, le député de la Vienne. "Faire croire aux Français qu'il pourrait y avoir un tracking vertueux est, de mon point de vue, un mensonge", tonne le jeune élu LREM.

Au Parlement, des auditions se tiennent pour interroger experts et entrepreneurs sur le sujet. C'est le cas du spécialiste de la cybersécurité Baptiste Robert, farouchement opposé à StopCovid, dont l'utilité est très réduite selon lui.

Ça n'est pas du pistage très poussé, l'application ne va pas prendre votre position GPS ou vos contacts. Mais c'est un pas dans une mauvaise direction. Et le vrai sujet, c'est la question de l'utilité d'un tel dispositif.

Baptiste Robert

à franceinfo

Une position que rejoint l'association de la Quadrature du Net, pour qui StopCovid est d'une efficacité hasardeuse, sacrifiant les libertés individuelles et accoutumant la population aux outils de surveillance numérique.

L'échec australien

Mais le cabinet de Cédric O et les équipes de StopCovid maintiennent le cap. Le 24 avril, ils reçoivent l'avis favorable du Conseil national du numérique (Cnum). L'application doit être transparente et son usage limité dans le temps, prévient-il. Deux jours plus tard, même son de cloche du côté de la Commission nationale de l'informatique et des libertés (Cnil), qui émet différentes recommandations en urgence. Le 26 mai, elle rend un nouvel avis expliquant que ses demandes ont globalement été respectées, mais insiste sur la publication de l'intégralité du code source par soucis de transparence.

Après les avis favorables du Cnum et de la Cnil, le cabinet de Cédric O, sous tension, et l'équipe StopCovid tentent de donner un maximum de garanties sur la sécurité. Des tests sont réalisés grandeur nature dans le métro, ou avec des soldats de l'armée. StopCovid est testée sur une centaine de mobiles, les plus utilisés par les Français. Les essais "montrent qu'on capte grosso modo entre 75 et 85% des gens qui sont à proximité", assure Cédric O.

La fin du mois de mai est celle des dernières passes d'arme autour de StopCovid, alimentées par l'échec relatif de telles applications dans d'autres pays. En Australie, six millions de personnes ont installé COVIDSafe, mais elle n'a permis d'identifier qu'un seul cas positif au Covid-19, rapporte le Guardian.

Un débat à côté de l'appli 

La veille du vote à l'Assemblée, l'Inria commence à publier le code source de l'application. Mais pas dans sa totalité, regrettent des spécialistes. Sous l'impulsion de l'Agence nationale de la sécurité des systèmes d'information, le gouvernement sollicite les "hackers éthiques" de Yes We Hack. Dès le 27 mai, ces pirates informatiques sont chargés de déceler des failles pour aider à les corriger avant la publication de l'appli. "Je n'ai jamais vu autant de garanties données aux citoyens", commente la députée Laure de la Raudière (Agir), spécialiste des questions de surveillance et de numérique.

Puis vient le temps d'un étonnant débat à l'Assemblée et au Sénat. Au perchoir, Jean-Luc Mélenchon vocifère contre "le Big Data", critique l'application et demande à ses collègues de retirer de leur téléphone son numéro, donnant de l'écho à une fausse information au sujet de StopCovid. Les députés des Républicains n'hésitent pas à dénoncer un projet "orwellien", selon les mots de Damien Abad. Les élus de droite avaient pourtant voté pour la loi renseignement en 2015, sans mobiliser un tel argument face à un texte bien plus signifiant en terme de surveillance. 

La député Paula Forteza, du nouveau groupe parlementaire Ecologie démocratie solidarité, s'alarme quant à elle d'une accoutumance aux outils de surveillance et appelle à un principe de précaution numérique face aux risques pour la sécurité des données. Mounir Mahjoubi et Cédric Villani défendent sans surprise l'application portée par Cédric O. L'Assemblée approuve le 27 mai la déclaration du gouvernement sur StopCovid, à 338 voix pour et 215 contre. Elle est suivie par le Sénat dans la soirée.

Des données en lieu sûr ?

C'est donc à ce 2 juin qu'a été fixée la publication de l'application, le temps de réparer les failles détectées par les pirates de Yes We Hack. Elle permettra d'accompagner ainsi la deuxième phase de déconfinement et la vie sociale plus active qu'elle engendrera. Impossible de savoir combien de Français installeront l'application. Bon nombre d'opposants à StopCovid rappellent qu'environ 25% de la population ne possède pas de smartphone, surtout les personnes âgées, les plus vulnérables face à l'épidémie.

Mais Cédric O l'a répété à l'envi, toute contamination évitée grâce à l'application sera déjà une réussite. Quant aux risques sur la sécurité des données, le secrétaire d'Etat au Numérique le concède : "Je ne peux pas vous garantir qu'il y ait zéro risque, mais nous avons pris le maximum de précautions." Reste à espérer qu'aucun hacker un peu trop créatif ou acteur mal intentionné ne vienne refroidir les ambitions de cette initiative française.